Conferencia Orientada a clarificar Conceptos de Ciber Seguridad, SCADA, Cadena de destrucción.

1. Secpro – David Pereira
Conceptos, Diferencias y Casos Prácticos

2. David Pereira
CEH, ECSA/LPT, CHFI, ENSA, ECSS, ECVP, CEI,
QGSS, ECIH, EDRP, NFS, OPSEC, CICP, CCISO CND.
• +19 Años de experiencia en Seguridad
Informática y DFIR
• Hacker Ético – Pentester en diversas
Entidades en el mundo, de ámbitos como el
Financiero, Energético, Militar, Inteligencia,
Diplomático, Minero, entre otros.
• Instructor / Consultor de Fuerzas de
Ciberdefensa, Fuerzas Militares y Policía, en
varios Países.
• Conferencista Internacional

3. Introducción

4. Introducción
Necesidades:
Investigar y analizar la actividad
realizada en el ciberespacio
Conocer las amenazas
potenciales /activas
Prepararse para realizar un plan
de acción ante esas amenazas
Saber qué medidas deberían
tomarse ante un evento o
amenaza

5. De estos Factores nacen:
Ciberespacio
Ciberamenaza/Ciberataque
Ciberdelincuente/Ciberterrorista
Ciberseguridad
Ciberdefensa
Ciberinteligencia

6. Ciberespacio
Mundo en línea de las redes de
cómputo y la Internet.
http://www.merriam-webster.com/dictionary/cyberspace
Datos almacenados en un
supercomputador o red
representado como un modelo tri-
dimensional donde un usuario virtual
puede moverse.
http://www.dictionary.com/browse/cyberspace

7. Ciberamenaza / Ciberataque
Ciberamenaza:
Actividad maliciosa potencial
que puede ocurrir en el
ciberespacio.
El Atacante debe contar con:
Ciberataque:
Asalto que aprovecha una
vulnerabilidad en un sistema
conectado al Ciberespacio.
Oportunidad Capacidad Intención

8. Ejemplos de Ciberataques
Ciberespionaje Industrial
Ciberespionaje Gubernamental
Ciberataque a Infraestructuras Críticas
Cibermercenarios
Ciberdelincuencia Financiera
Ciberdelincuentes Aislados

9. Ataques a plataformas SCADA
Sabotaje al Gasoducto
Transiberiano (1982)
Primer ciber ataque registrado a una
infraestructura crítica. Intrusos
implantaron un troyano en el
sistema SCADA que controlaba el
flujo de gas en el gasoducto
Transiberiano. El ataque generó una
explosión de 3 kilotones.
Considerada la mayor explosión no
nuclear vista desde el espacio.

10. Ataques a plataformas SCADA
Sistema de Alertas de Emergencias
de Chevron (1992)
Un exempleado de Chevron deshabilitó
el sistema de alarmas, lo cual no fue
descubierto hasta que se presentó una
emergencia en una refinería en
Richmond. El sistema no pudo alertar
del peligro a los habitantes cercanos a
la refinería. Por 10 horas todos ellos
estuvieron expuestos a sustancias
nocivas liberadas en el agua, producto
de la emergencia.

11. Ataques a plataformas SCADA
Stuxnet
Detectado por primera vez en 2009,
se especula que su propósito era
sabotear el Programa Nuclear Iraní,
específicamente la planta de uranio
enriquecido de Natanz; causando
daños físicos en la infraestructura de
la planta, y generando un retraso de 4
años en el programa nuclear iraní.
Afecta principalmente sistemas
Siemens S7 y PCS7.

12. Ciberseguridad
Estrategias Políticas Estándares
Seguridad de las Operaciones en el Ciberespacio
Reducción de
Amenaza
Reducción de
Vulnerabilidad
Disuasión
Aseguramiento
de la Info.
Respuesta a
Incidentes
Resiliencia
Recuperación
de Desastres

13. Ciberdefensa
Capacidades organizadas para:
los efectos de un Ciberataque.
Proteger
MitigarContrarrestar

14. Ciberdefensa Pasiva
Sistemas adicionados a la
Arquitectura de TI para proveer:
Sin la necesidad de una interacción
humana permanente.
Defensa
Confiable
Visibilidad
de Eventos

15. Arquitectura de Ciberdefensa
BD
Aplicación
S.O.
Red
Físico /Ambiental
Identidad y Acceso
Seguridad en BD
Firewall de Aplicac.
Endurecimiento S.O.
Antimalware
Firewall en Clientes
NAC / VLAN / ACL
Encripción
Aseguram. WiFi
Insp.Profunda
Mail/Web
Aseg. Acceso
Remoto
NIDS/NIPS/HIDS
Firewall de Redes
Análisis Avanzado de
Malware
Segmentación de Red
Aseguramiento VoIP
Aseguramiento
Físico y Ambiental.
Controles de
Identidad y
Acceso
Gerencia de Vulnerabilidades
Seguridad Proactiva
Aseguramiento de Acceso y
D.A.
Capacitación/Concientización
Autenticación Fuerte
Prevención de Perdida de
Datos/DLP
Políticas de Acceso / Seguridad
Regla de Menor Privilegio
Proxy Terminación SSL
SIEM / Correlacionamiento de
Eventos
Servicios de Seguridad
Administrados
Estrategias de Disaster Recovery
Seguridad Endpoints

16. Ciberdefensa Pasiva
Tomado de :
http://www.apcert.org/about/structure/tsuba
me-wg/

17. Ciberdefensa Activa
Procesos y mecanismos que
permiten a los analistas:
Responder al
Ataque
Aprender del
Adversario

18. Ejemplo: Ciberdefensa Activa
OpIsrael:
Ataque del grupo anonymous a Israel
https://www.rt.com/news/anonymo
us-israel-cyber-attack-737/

19. Ejemplo: Ciberdefensa Activa
OpIsrael:
Ataque del grupo anonymous a Israel
https://www.rt.com/news/anonymous-israel-cyber-attack-737/

20. Ejemplo: Ciberdefensa Activa
Ciberdefensa de Israel;
http://www.algemeiner.com/2014/04/10/israeli-hackers-strike-back-at-anonymous-opisrael-expose-participants-with-their-own-webcams-photos/hack2/

21. Ejemplo: Ciberdefensa Activa
Ciberdefensa de Israel;
http://www.algemeiner.com/2014/04/10/israeli-hackers-strike-back-at-anonymous-opisrael-expose-participants-with-their-own-webcams-photos/hack2/

22. Ejemplo: Ciberdefensa Activa
Ciberdefensa de Israel;
http://www.algemeiner.com/2014/04/10/israeli-hackers-strike-back-at-anonymous-opisrael-expose-participants-with-their-own-webcams-photos/hack2/

23. Ejemplo: Ciberdefensa Activa
Ciberdefensa de Israel;
http://www.algemeiner.com/2014/04/10/israeli-hackers-strike-back-at-anonymous-opisrael-expose-participants-with-their-own-webcams-photos/hack2/

24. Ciberinteligencia
Ciberinteligencia es una disciplina
analítica, la cual incluye:
Ubicación y
Captura de Datos
Análisis de la
actividad generada
en el Ciberespacio
Toma de Decisiones
Creación de Estrategias

25. Importancia de la Ciberinteligencia
La Ciberinteligencia es un factor vital
para la toma de decisiones a nivel
gubernamental / ejecutivo, debido a
que permite:
Identificar
Vulnerabilidades
Potenciales de la
Nación o Entidad
en el
Ciberespacio.
Identificar
enemigos
potenciales de la
Nación o la
Entidad en el
Ciberespacio
Identificar e
Interceptar
canales de
comunicación
enemigos.
Rastrear y
detectar planes de
ataques dirigidos
contra el
Ciberespacio de la
Nación o Entidad

26. “Todas las operaciones en
el Ciberespacio,
comienzan con un Ser
Humano”

27. Cadena de Destrucción
1. Reconocimiento
2. Weaponization
3. Entrega
4. Explotación
5. Instalación
6. Comando y
Control – C2
7 Acción sobre el
Objetivo
Horas a Meses
Recolectar emails,
usuarios, teléfonos,etc.
(OSINT)
Preparación
Crear archivo con el
exploit o malware para
entrega
Enviar Mail, Enlace de
Internet, Memoria USB o
Similar
Explotar vulnerabilidad
para ejecutar código en la
Víctima
Instalar Malware o
Backdoor en la máquina
víctima
Controlar a la Victima
desde algún lugar remoto
por un canal cifrado.
Generar el acto hostil
sobre la infraestructura de
la Víctima
SegundosMeses
IntrusiónIntrusion Activa

28. ¿Qué tan preparado está el país para responder
ante potenciales amenazas? Lo que Estamos
Haciendo: (CCOC)
● Catálogo Nacional de IC
● Protección y aseguramiento de las
plataformas informáticas (IC).
● Manejo de respaldo tanto para la
información como para el servicio que
la plataforma presta.
● Detección, prevención y monitoreo de
intrusiones.
● Continuo Mejoramiento de Capacidad
de Mitigación

29. Recomendaciones de ciberinteligencia orientada hacia la
ciberseguridad del país
Actualmente las entidades gubernamentales tienen sus servicios de
internet dispersos en diferentes servicios de hosting a nivel mundial. Esto
dificulta la mitigación de ataques, análisis de seguridad, endurecimiento y
protección de la información.
¿En qué podemos mejorar?
ü Datacenters Propios con administración centralizada

30. ¿En qué podemos mejorar?
ü Datacenters Propios con administración centralizada
Un Datacenter (o grupo de datacenters) exclusivos para servicios
gubernamentales, administrado y asegurado por personal de ciberseguridad
nacional, permitiría controlar eficientemente potenciales amenazas, así como
centralizar auditorías de seguridad, análisis de ataques, seguimiento de amenazas,
una única red de protección, entre otros.

31. ¿En qué podemos mejorar?
INTELIGENCIA DE AMENAZA
Debemos entender cuales son nuestras amenazas, como
actúan en nuestra contra y cómo evolucionan.
-Recordar a Sun Tzu.
¿Qué tan preparado está el país para responder
ante potenciales amenazas?

32. ¿Y a Nivel Interno?
¿Para qué ser reactivos si podemos ser
proactivos?
Plantillas de Endurecimiento
(“Hardenización”) que sean aplicables a la
infraestructura Interna de los Entes
gubernamentales;
● Sistemas Operativos de Servidor y
Estaciones
● Redes Internas y Perimetrales
● Dispositivos Móviles
● Aplicaciones
● Bases de Datos
● Auditoria de Código Fuente
¿En qué podemos mejorar?

33. ● Un ranking de potenciales fuentes de
amenaza permite identificar un ataque con
un alto nivel de probabilidad.
● A partir de un consolidado del histórico de
ataques recibidos a las entidades
gubernamentales se puede inferir quienes
son nuestros mayores enemigos
cibernéticos.
Base de datos de reputación propia
¿En qué podemos mejorar?

34. Carecemos de la infraestructura necesaria para detectar
un ataque y monitorizarlo. En ese sentido, sería de
bastante utilidad contar con todo un sistema de
honeypots especialmente orientados para los servicios
informáticos del gobierno.
Con ellos se podría identificar un potencial ataque en el
momento mismo en el que sucede, ubicar su origen,
hacer traza de sus actividad y obtener información de él.
Es, de por sí, un mecanismo de seguridad de detección de
ataques muy eficiente que, nuevamente, se encuentra
ausente en la gran mayoría de nuestros servicios
informáticos.
Red de honeypots y “sifones” para detección de
ataques
¿En qué podemos mejorar?

35. Si tuviéramos una herramienta
instalada en cada computador de
cada miembro de la fuerza pública
a fin de utilizar su ancho de banda
en caso de necesitar repeler un
ataque, tendríamos una red de
defensa de magnitudes gigantescas.
Usaríamos la técnica del enemigo
en su contra.
Red Nacional de Defensa DDoS
¿En qué podemos mejorar?

36. Vincular a los ISP y tener
canales fluidos de
comunicación a fin de
contener o eliminar ataques
mediante técnicas como
Black Hole Filtering reverso.
Red Nacional de Defensa DDoS
¿En qué podemos mejorar?

37. Implementar mecanismos de captura
de información de los usuarios que
navegan los sitios de IC del país;
En el momento de detectar un
ataque, cruzar información y hacer
hack back;
Rastreo de puertos, detección de
vulnerabilidades, DDoS, Filtro de ISP,
etc. de forma automatizada.
Tracking al atacante
¿En qué podemos mejorar?

38. ü Claves Seguras:
• No usar datos personales o fácilmente
adivinables
• No usar palabras individuales que se
encuentren en un diccionario
• Longitud Mínima de 8 Caracteres
Ejemplo:
C0lombiaP@triaM&a
¿En qué podemos mejorar?

39. ü Navegación Segura:
• No navegar sitios desde enlaces de
correo
• Herramientas:
• Netcraft (http://toolbar.netcraft.com/)
• NoScript
(https://addons.mozilla.org/es/firefox/addon/noscript/)
• AdBlockPlus (https://adblockplus.org/es/)
• Ghosthery (https://www.ghostery.com/try-us/download-
browser-extension/)
• Do Not Track Me
(https://dnt.abine.com/#register)
¿En qué podemos mejorar?

40. ü Usa un Antivirus:
• Kaspersky
• Avast
• Nod32
• AVG
• McAfee
¿En qué podemos mejorar?

41. ü No Divulgarse:
• Cuidar los datos personales que
colocan en línea
• Cuidar las fotos que se publican
• Cuidar la información de tu familia
en línea
• Cuidar lo que se Trina
• No Geolocalizarse
¿En qué podemos mejorar?

42. ü Encriptar Dispositivos:
• Bitlocker (Microsoft)
• Filevault (Mac)
• Veracrypt (PC – Mac)
• Android
• iOS
¿En qué podemos mejorar?

43. ü Usar el Sentido
Común:
• Si algo parece raro o fuera de
lugar: Desconfía
• Debes estar siempre Alerta!
Los Ciberdelincuentes siempre
están buscando nuevas
víctimas!!
¿En qué podemos mejorar?

44. ¿Preguntas?
David F. Pereira Q.
David.pereira@secpro.org
@d4v1dp3r31r4